99/1599



BUNDESREPUBLIK **DEUTSCHLAND** 

## **<sup>®</sup> Offenlegungsschrift** ® DE 196 10 070 A 1

(51) Int. Cl.6:

G 06 K 19/073

**DEUTSCHES PATENTAMT**  Aktenzeichen: 196 10 070.4 Anmeldetag: 14. 3.96 Offenlegungstag:

18. 9.97

(71) Anmelder:

Siemens AG, 80333 München, DE

(7) Erfinder:

Sediak, Holger, 81541 München, DE; Oberländer, Klaus, 88157 Augsburg, DE

55 Entgegenhaltungen:

DE 26 21 271 C2 DE 43 28 753 A1

Prüfungsantrag gem. § 44 PatG ist gestellt

- 64) Chipkarte
  - Die Erfindung bezieht sich auf eine Chipkarte mit einem Kartenkörper (2) und einem innerhalb des Kartenkörpers (2) untergebrachten Halbleiterchip (3), auf welchem eine Steuerschaltung (7) und eine mit der Steuerschaltung (7) elektrisch gekoppelte Halbleiterspeichereinrichtung integriert ausgebildet ist, welche Steuerschaltung (7) mit einer von einer Spannungsversorgungsschaltung (12) erzeugten Versorgungsspannung und einem von einer separat von der Steuerschaltung (6) angeordneten Taktversorgungsschal-tung (13) erzeugten Takt versorgt ist. Der Steuerschaltung (7) des innerhalb des Kartenkörpers (2) untergebrachten Halbleiterchips (3) ist eine Sensorschaltung (14) zugeordnet, welche eine Abweichung des erlaubten Betriebszustandes der Steuerschaltung (7) erfaßt und bei Vorliegen eines unerlaubten Betriebszustandes der Steuerschaltung (7) ein Auslösesignal erzeugt, welches einer der Sensorschaltung (14) nachgeschalteten und der Halbleiterspeichereinrichtung zugeordneten Auslöseschaltung (18) zugeführt ist, die als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts von Speicherzellen der Halbleiterspeichereinrichtung steuert.



## Beschreibung

Die Erfindung bezieht sich auf eine Chipkarte mit einem Kartenkörper und einem innerhalb des Kartenkörpers untergebrachten Halbleiterchip, auf welchem eine Steuerschaltung und eine mit der Steuerschaltung elektrisch gekoppelte Halbleiterspeichereinrichtung integriert ausgebildet ist, welche Steuerschaltung mit einer von einer Spannungsversorgungsschaltung erzeugten Versorgungsspannung und einem von einer separat 10 von der Steuerschaltung angeordneten Taktversorgungsschaltung erzeugten Takt versorgt ist, wobei die Versorgungsspannung einen innerhalb vorbestimmter Betriebsspannungsgrenzen liegenden Betriebsspannungswert und der Versorgungstakt einen innerhalb 15 vorbestimmter Betriebstaktgrenzen liegenden Betriebstaktwert besitzt.

Die Anwendungsmöglichkeiten von in der Regel im Scheckkartenformat ausgebildeten Chipkarten sind aufgrund einer hohen funktionalen Flexibilität äußerst viel- 20 seitig geworden und nehmen mit der steigenden Rechenleistung und Speicherkapazität der verfügbaren integrierten Schaltungen-weiterhin zu. Neben den derzeit typischen Anwendungsfeldern solcher Chipkarten in der Form von Krankenversichertenkarten, Gleitzeiter- 25. fassungskarten, Telefonkarten ergeben sich zukünftig insbesondere Anwendungen im elektronischen Zahlungsverkehr, bei der Zugriffskontrolle auf Rechner, bei geschützten Datenspeichern und dergleichen. Beim Einsatz von Mikrocontrollern auf Chipkarten müssen in 30 den meisten Fällen sehr hohe Sicherheitsanforderungen eingehalten werden, um einen unbefugten Zugriff auf vertrauliche Daten des Chipkarteninhabers oder eine Manipulation von Geldbeträgen wirksam zu verhindern. In den bisher bekannten Chipkarten werden daher 35 Schutzelemente eingebaut, die hinsichtlich der Funktionsweise in passive und aktive Schutzmechanismen unterteilt werden können, und welche beispielsweise in dem Handbuch mit dem Titel "Chipkarten", Carl Hanser Verlag, 1995, Seiten 208-213 beschrieben sind.

Passive Schutzmechanismen basieren im wesentlichen direkt auf der Technologie der Halbleiterherstellung. Beispielsweise besitzen zur Überprüfung des Chips während der Halbleiterfertigung und zur Ausführung der internen Testprogramme sämtliche Mikro- 45 controller einen sogenannten Testmodus, bei dem die Halbleiterschaltungen noch auf dem Wafer oder im Modul beim Hersteller geprüft werden können. Dieser Testmodus erlaubt Zugriffsarten auf den Speicher, die später strikt verboten sind, so daß die Umschaltung vom 50 Testmodus in den Benutzermodus irreversibel ausgestaltet sein muß. Dies wird in der Regel mit Polysilizium-Sicherungen auf dem Chip bewerkstelligt. Darüber hinaus ist es bekannt, die internen Busse auf dem Chip, die den Prozessor mit drei verschiedenen Speichertypen 55 ROM, EEPROM und RAM verbinden, somit nicht nach außen geführt und danach auch mit sehr aufwendigen Verfahren nicht kontaktierbar sind, über verschlüsselte Anordnungen der einzelnen Busleitungen in einer wirzuordnen. Damit besteht keine Möglichkeit für einen unbefugten Angreifer, den Adreß-, Daten- oder Steuerbus des Mikrocontrollers abzuhören oder zu beeinflussen und dadurch Speicherinhalte auszulesen. Weiterhin kann durch Unterbringung der Halbleiterspeicher nicht 65 in den obersten und damit am leichtesten zugänglichen Schichten, sondern in den unteren Siliziumschichten verhindert bzw. erschwert werden, den Inhalt eines

Festwertspeichers mit einem Lichtmikroskop Bit für Bit auszulesen. Eine weitere Gefahr stellt die Analyse von elektrischen Potentialen auf dem Chip während des Betriebes dar. Bei einer genügend hohen Abtastfrequenz besteht die Möglichkeit, Ladungspotentiale, d. h. Spannungen, auf sehr kleinen Kristallbereichen zu messen und auf diese Weise Rückschlüsse auf Dateninhalte des Halbleiterspeichers vom wahlfreien Zugriffstyp (RAM) während des Betriebes zu ziehen und damit Zugriff auf vertrauliche Daten des Chipkarteninhabers zu erhalten. Dies kann in gewisser Weise durch eine zusätzliche Metallisierungsschicht über den entsprechenden Speicherzellen verhindert werden. Wird diese Metallschicht beispielsweise auf chemischem Weg entfernt, ist der Chip nicht mehr funktionsfähig, da die Metallisierungsschicht als elektrische Spannungszuführung für eine ordnungsgemäße Funktion des Chips benötigt wird.

Weiterhin sind aktive Schutzmechanismen bei Chipkarten bekannt, die einen unbefugten Zugriff auf Dateninhalte verhindern sollen. Beispielsweise kann eine Sensorschaltung vorgesehen sein, die über eine Widerstands- oder Kapazitätsmessung feststellt, ob die auf dem Siliziumchip zur Verhinderung einer Oxidation auf der Chipoberfläche aufgetragene Passivierungsschicht noch vorhanden ist, welche bei der Vornahme von Manipulationen auf dem Chip entfernt werden muß. Ist die Passivierungsschicht nicht mehr vorhanden oder beschädigt, wird entweder ein Interrupt in der Chipsoftware ausgelöst oder der gesamte Chip von der Hardware abgeschaltet, so daß alle dynamischen Analysen zuverlässig verhindert werden. Weiterhin bekannt ist es, auf dem Chipkarten-Mikrocontroller eine Spannungsüberwachungsschaltung vorzusehen, welche für ein definiertes Abschalten des Bausteins sorgt, wenn die oberen oder unteren Grenzen der Betriebsspannung über- bzw. unterschritten werden. Damit -erhält die Software die Sicherheit, daß ein Betrieb in den Grenzbereichen, in denen der Chip nicht mehr voll funktionsfähig ist, unmöglich ist. Ein weiterer bekannter Sensor, der zum Teil 40 auf der Spannungsdetektion aufbaut, stellt die sogenannte Power-On-Erkennung dar. Diese ebenfalls in dem Chip vorhandene Detektion eines Power-On unabhängig vom Resetsignal sorgt dafür, daß der Chip beim Anschalten immer in einem definierten Bereich gesetzt wird. Weiterhin ist es bekannt, auf dem Chip eine Funktionsbaugruppe zur Unterfrequenzdetektion integriert auszubilden. Diese verhindert, daß der angelegte Takt in unzulässiger Weise erniedrigt werden kann. Die Taktversorgung der Chipkarte läuft in der Regel extern, so daß die interne Rechengeschwindigkeit völlig von au-Ben bestimmt wird. Damit bestünde theoretisch die Möglichkeit, von außen den Mikrocontroller im Einzelschrittbetrieb zu fahren. Dies würde zu unbefugten Analysemöglichkeiten vor allem in der Messung von Stromaufnahmen und elektrischen Potentialen auf dem Chip führen.

Allen bisher bekannt gewordenen Schutzmaßnahmen zur Verhinderung des unbefugten Zugriffs auf vertrauliche Dateninhalte bei Chipkarten ist gemeinsam, daß ren und mehrfach gegeneinander vertauschten Lage an- 60 nach einer Auslösung der betreffenden Schutzmaßnahme die Chipkarte insgesamt nicht mehr funktionsfähig

> Der Erfindung liegt die Aufgabe zugrunde, eine aktive Schutzeinrichtung für eine Chipkarte der gattungsgemäßen Art zur Verfügung zu stellen bzw. dahingehend zu verbessern, daß die Gefahr eines unbefugten Zugriffes auf Dateninhalte von Speicherzellen des innerhalb der Chipkarte untergebrachten Halbleiterspei-

chers vom wahlfreien Zugriffstyp wirksam ausgeschlossen werden kann, gleichzeitig die vom unbefugten Zugriff nicht betroffenen Schaltungskomponenten der Chipkarte funktionsfähig bleiben.

Diese Aufgabe wird durch eine Chipkarte gemäß Anspruch 1 gelöst.

Erfindungsgemäß ist vorgesehen, daß der Steuerschaltung des innerhalb des Kartenkörpers untergebrachten Halbleiterchips eine Sensorschaltung zugeordnet ist, welche eine Abweichung des erlaubten Betriebszustandes der Steuerschaltung und/oder weiterer Schaltungskomponenten des Halbleiterchips erfaßt, und bei Vorliegen eines unerlaubten Betriebszustandes ein Auslösesignal erzeugt, welches einer der Sensorschaltung nachgeschalteten und der Halbleiterspeicherein- 15 Halbleiterspeichereinrichtung steuert. richtung zugeordneten Auslöseschaltung zugeführt ist, die als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts der Halbleiterspeichereinrichtung steuert. Die Erfindung besteht somit im wesentlichen darin, bei einer beliebigen Ab- 20 weichung des erlaubten Betriebszustandes der in der Chipkarte untergebrachten Steuerschaltung und/oder weiterer Schaltungskomponenten selbsttätig eine sofortige Löschung von sicherheitsrelevanten oder personenbezogenen Dateninhalten zu steuern. Eine Abwei- 25 chung vom erlaubten Betriebszustand der Steuerschaltung wird beispielsweise bei einem unbefugten Zugriff oder eine unbefugte Manipulation an Schaltungskomponenten der Chipkarte hervorgerufen, beispielsweise bei dem Versuch, vertrauliche Daten durch unbefugte 30 Eingriffe aus zulesen. Durch die Abweichung vom erlaubten Betriebszustand wird ein solcher Manipulationsversuch automatisch erkannt und zur selbsttätigen Löschung insbesondere sämtlicher vertraulicher Dateninhalte ausgelöst. Solche Dateninhalte sind beispielswei- 35 se in einem mit der Steuerschaltung elektrisch gekoppelten Halbleiterspeicher vom wahlfreien Zugriffstyp, darüber hinaus jedoch auch beispielsweise in einem der Steuerschaltung zugeordneten Speicherregister, beispielsweise einem sogenannten Spezialfunktionsregister, oder in einem Akkumulator zeitweise abgespeichert. Das von der Sensorschaltung bei Abweichung vom erlaubten Betriebszustand erzeugte Auslösesignal steuert somit nicht nur das Löschen der relevanten Dateninhalte vom Halbleiterspeicher vom wahlfreien Zu- 45 griffstyp (RAM), sondern auch das Löschen von Dateninhalten von allen weiteren Speicher- oder Registervorrichtungen, in denen wenigstens zeitweise solche Daten abgelegt sind, aus denen Rückschlüsse auf vertrauliche Informationen abgeleitet werden können.

Ein wesentlicher Vorteil der Erfindung liegt darin, daß im Falle des Auftretens eines unerlaubten Betriebszustandes die Funktionsfähigkeit der von dem Manipulationsversuch nicht betroffenen Schaltungskomponenten, insbesondere die Steuerschaltung selbst, unverän- 55 dert in Betrieb bleiben. Auf diese Weise können nach Auftreten eines Manipulationsversuches noch wirksam Datensignale verarbeitet werden. Beispielsweise kann eine Übertragung von Daten an ein mit der Chipkarte in Verbindung stehendes Terminal erfolgen und eine ent- 60 sprechende Sperrung der Chipkarte unter Angabe der zugehörenden Personendaten veranlaßt werden.

Bei einer besonders einfach zu realisierenden Anordnung kann vorgesehen sein, daß nach Erfassung des unerlaubten Betriebszustandes selbsttätig eine vollstän- 65 dige Löschung von Dateninhalten erfolgt. Dies kann vorzugsweise durch Ausgabe eines Reset-Signales an alle betroffenen Speicher- oder Register der Halbleiterspeichereinrichtung bewerkstelligt werden.

Bei einer bevorzugten Ausführung der Erfindung ist vorgesehen, daß die Sensorschaltung der Taktversorgung und/oder der Spannungsversorgung der Steuerschaltung zugeordnet ist und eine Abweichung der Versorgungsspannung von der Betriebsspannung und/oder eine Abweichung des Versorgungstaktes von dem Betriebstakt erfaßt und bei Vorliegen einer Abweichung der Betriebsspannung und/oder des Betriebstaktes ein 10 Auslösesignal erzeugt, welches einer der Sensorschaltung nachgeschalteten und der Halbleiterspeichereinrichtung zugeordneten Auslöseschaltung zugeführt ist, welche als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts der

Insbesondere der in der Chipkarte vorgesehene und zur zeitweisen Speicherung personenbezogener Daten dienende Halbleiterspeicher vom wahlfreien Zugriffstyp (RAM) stellt eine gewisse Schwachstelle des auf dem Halbleiterchip ausgebildeten Mikrocontrollers dar, da deren Speicherzellen vertrauliche Dateninhalte in geordneter Form enthalten, die bei einem unbefugten Zugriff durch relativ einfach durchzuführende Maßnahmen ausgelesen werden können. Durch die Erfindung wird bei einem unbefugten Ausleseversuch der Dateninhalte über Betriebsspannungs- bzw. Frequenzmanipulationen selbsttätig eine sofortige Löschung der Speicherzellen hervorgerufen. Durch diese Maßnahme wird ein unberechtigtes Auslesen des Halbleiterspeichers, in welchem während dem Betriebszustand zeitweise vertrauliche Dateninhalte bzw. Schlüsseldaten abgelegt sind, zumindest erheblich erschwert. Es ist somit insbesondere nicht mehr möglich, den Halbleiterchip in einen unerlaubten Betriebszustand zu bringen, um anschlie-Bend in aller Ruhe "quasistatisch" die Dateninhalte, welche der Halbleiterspeicher hält, solange die Betriebsspannung noch eingeschaltet ist, auszulesen.

Dem Prinzip der Erfindung folgend kann vorgesehen sein, daß die Sensorschaltung eine Spannungsdetektorschaltung aufweist, welche ein Über- bzw. Unterschreiten der Versorgungsspannung von den vorbestimmten oberen bzw. unteren Grenzwerten der Betriebsspannung erfaßt. Des weiteren kann vorgesehen sein, daß die Sensorschaltung eine Frequenzdetektorschaltung aufweist, die ein Über- bzw. Unterschreiten des Versorgungstaktes von den oberen bzw. unteren Grenzwerten des Betriebstaktes erfaßt.

Bei einer bevorzugten Ausführung der Erfindung kann vorgesehen sein, daß die der Sensorschaltung nachgeschaltete Auslöseschaltung zur Löschung des Dateninhalts von sämtlichen Speicherzellen des Halbleiterspeichers vom wahlfreien Zugriffstyp ein Reset-Signal an den Halbleiterspeicher ausgibt. Hierbei kann insbesondere vorgesehen sein, daß die Steuerung der wenigstens bereichsweisen Löschung des Dateninhalts von Speicherzellen des Halbleiterspeichers vom wahlfreien Zugriffstyp vermittels der der Sensorschaltung nachgeschalteten Auslöseschaltung unabhängig von der der Steuerschaltung zugeordneten Taktversorgung erfolgt. Hierbei wird in allen vier denkbaren Fällen, in denen die Sensorschaltung das Auslösesignal erzeugt, eine Löschung des gesamten Halbleiterspeichers vom wahlfreien Zugriffstyp veranlaßt, die unabhängig vom Anliegen des Taktes an die Steuerschaltung asynchron erfolgt, um sicherzustellen, daß die Sensorschaltung und Auslöseschaltung auch beim totalen Abschalten des Takt es ordnungsgemäß funktioniert.

Weitere Vorteile, Merkmale und Zweckmäßigkeiten

der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispieles anhand der Zeichnung. Es zeigt:

Fig. 1 eine schematische Draufsicht einer Chipkarte;

Fig. 2 eine schematische Darstellung der auf dem im Kartenkörper untergebrachten Halbleiterchip vorgesehenen elektronischen Schaltungskomponenten.

Fig. 1 zeigt eine Chipkarte 1 mit einem Kartenkörper 2 und einem innerhalb des Kartenkörpers 2 unterge- 10 brachten Halbleiterchip 3, der als Bestandteil eines vorgefertigten Chipmoduls 4 gefertigt ist, auf deren Oberfläche metallische Kontaktelemente 5 für die Energieversorgung und die Datenübertragung nach außen ankarte kann die erfindungsgemäße Chipkarte auch eine kontaktlose Karte darstellen.

In Fig. 2 sind die wichtigsten funktionellen Schaltungskomponenten der auf dem Halbleiterchip 3 ausgebildeten Mikrocontrollerschaltung 6, die den zentralen 20 Bestandteil der Chipkarte 1 darstellt, gezeigt. Dargestellt ist eine Steuerschaltung bzw. Mikroprozessorschaltung 7 und drei unterschiedliche Halbleiterspeicher, insbesondere ein Halbleiterspeicher vom wahlfreien Zugriffstyp (RAM) 8, ein Festwertspeicher (ROM) 9, 25 sowie ein elektrisch programmierbarer und löschbarer Festwertspeicher (EEPROM) 10. Im ROM-Speicher 9 der Chipkarte 1 befinden sich die meisten Betriebssystemroutinen, sowie diverse Test- und Diagnosefunktionen. Diese Programme werden vom Halbleiterherstel- 30 ler bei der Produktion des Halbleiterchips 3 eingebracht. Der gegenüber ROM und RAM technisch aufwendigere Speicher EEPROM 10 wird in der Chipkarte 1 für sämtliche Daten und Programme verwendet, die zu einem beliebigen Zeitpunkt einmal verändert oder ge- 35 löscht werden sollen. Der Funktionalität nach entspricht ein EEPROM der Festplatte eines Personalcomputers. da Daten auch ohne Stromzufuhr erhalten bleiben und sich bei Bedarf ändern lassen. Der RAM-Speicher 8 stellt den Speicher der Chipkarte 1 dar, in dem Daten 40 während einer Sitzung beliebig oft gespeichert und geändert werden können. Hinsichtlich der Anzahl der möglichen Zugriffe unterliegt der RAM-Speicher 8 somit keinen Einschränkungen wie etwa der EEPROM-Speicher 8 eine Spannungsversorgung. Ist die Betriebsspannung nicht mehr vorhanden, oder fällt sie kurzzeitig aus, ist der Inhalt des RAM-Speichers 8 nicht mehr definiert. Aufgebaut ist der RAM-Speicher 8 aus mehreren Transistoren, die so geschaltet sind, daß sie als bistabile Kippschaltung funktionieren. Der Schaltungszustand repräsentiert hierbei den Speicherinhalt eines Bits im RAM-Speicher 8. Der in der Chipkarte 1 verwendete RAM-Speicher 8 ist vom statischen Typ, d. h. der Speicherinhalt muß nicht periodisch aufgefrischt werden. 55 Damit ist der RAM-Speicher 8 auch unabhängig von einem äußeren Takt, im Gegensatz zu einem dynamischen RAM-Speicher. Die Verwendung eines statischen RAM-Speichers 8 ist im übrigen auch deshalb wichtig, weil es möglich sein muß, im sogenannten Schlafmodus 60 (Sleep Mode) die Taktversorgung von Chipkarten anzuhalten, was bei dynamischen RAM-Speichern nicht möglich wäre.

Der in der Chipkarte 1 zum Einsatz kommende Mikroprozessor 7 stellt einen an sich bekannten Prozess- 65 ortyp dar, dessen Befehlssatz sich beispielsweise an der Intel 8051-Architektur orientiert und teilweise durch weitere Befehle ergänzt sein kann. Zur Spannungsver-

sorgung der Schaltungskomponenten der Mikrocontrollerschaltung 6 ist eine extern über die Anschlüsse GND (= Ground bzw. Masse) und Vcc (= Versorgungsspannung) der Kontakte 5 der Chipkarte 1 gespei-5 ste Spannungsversorgungsschaltung 12 vorgesehen, die einen innerhalb vorbestimmter Betriebsspannungsgrenzen liegenden Betriebsspannungswert liefert, beispielsweise etwa 3 bis 5 V ± 10%. Des weiteren ist eine schematisch durch den Anschluß Clk (Clock = Takt) dargestellte Taktversorgungsschaltung 13 vorgesehen, die den Mikroprozessor 7 mit dem für die zeitlich definierte Abfolge der Befehlsabarbeitung erforderlichen und die Rechengeschwindigkeit der Mikrocontrollerschaltung 6 bestimmenden Versorgungstakt liefert, der geordnet sind. Anstelle einer kontaktbehafteten Chip- 15 einen innerhalb vorbestimmter Betriebstaktgrenzen liegenden Betriebstaktwert besitzt, beispielsweise zwischen etwa 1 bis 5 Mhz, in zukünftigen Anwendungen etwa 7,5 Mhz, 10 MHz. Gegenüber der Mikroprozessorschaltung 7 ist die Taktversorgung aufgrund der separat hiervon und schematisch dargestellten Taktversorgungsschaltung 13 vorgegeben, so daß die interne Rechengeschwindigkeit völlig von außen bestimmt wird. Damit besteht theoretisch die Möglichkeit, von außen die Mikrocontrollerschaltung 6 im Einzelschrittbetrieb zu fahren, was an sich zu unberechtigten Analysemöglichkeiten vor allem in der Messung von Stromaufnahmen und elektrischen Potentialen auf dem Halbleiterchip 3 führen könnte. Erfindungsgemäß ist eine der Taktversorgung und/oder der Spannungsversorgung der Steuerschaltung 7 zugeordnete Sensorschaltung 14 vorgesehen, welche eingangsseitig über Leitungen 15 und 16 den unmittelbar der Steuerschaltung 7 zugeordneten Versorgungstakt und/oder die Versorgungsspannung erfaßt und bei Vorliegen einer Abweichung von der Betriebsspannung und/oder vom Betriebstakt ein Auslösesignal erzeugt, welches über eine Leitung 17 einer der Sensorschaltung 14 nachgeschalteten und dem Halbleiterspeicher 8 zugeordneten Auslöseschaltung 18 zugeführt ist, welche wiederum als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts von Speicherzellen 19 des Halbleiterspeichers 8 steuert. Hierbei umfaßt die Sensorschaltung 14 zum einen eine Spannungsdetektorschaltung 20, welche ein Über- bzw. Unterschreiten der Versorgungs-Speicher 10. Zur Datenerhaltung benötigt der RAM- 45 spannung von den vorbestimmten oberen bzw. und unteren Grenzwerten der Betriebsspannung erfaßt, und zum anderen eine Frequenzdetektorschaltung 21, welche ein Über- bzw. Unterschreiten des Versorgungstaktes von den oberen bzw. unteren Grenzwerten des Betriebstaktes erfaßt. Vorzugsweise erzeugt die über eine Leitung 22 mit dem Halbleiterspeicher 8 verbundene Auslöseschaltung 18 als Reaktion auf das von der Sensorschaltung 14 gelieferte Auslösesignal ein Reset-Signal, aufgrund dessen die Dateninhalte von sämtlichen Speicherzellen 19 des Halbleiterspeichers 8 gelöschtwerden Dieses Reset-Signal wird unabhängig von einem über den Anschluß 23 der Kontakte 5 zugeführten externen RST-Signales erzeugt. Gleichzeitig mit der Löschung von Dateninhalten der Speicherzellen des Halbleiterspeichers vom wahlfreien Zukönnen erfindungsgemäß auch Dateninhalte eines der Steuerschaltung zugeordneten, in Fig. 2 schematisch angedeuteten Registers oder Akkumulators 11 gelöscht werden.

## Patentansprüche

1. Chipkarte mit einem Kartenkörper (2) und einem innerhalb des Kartenkörpers (2) untergebrachten

Halbleiterchip (3), auf welchem eine Steuerschaltung (7) und eine mit der Steuerschaltung (7) elektrisch gekoppelte Halbleiterspeichereirichtung integriert ausgebildet ist, welche Steuerschaltung (7) mit einer von einer Spannungsversorgungsschal- 5 tung (12) erzeugten Versorgungsspannung und einem von einer separat von der Steuerschaltung (6) angeordneten Taktversorgungsschaltung (13) erzeugten Takt versorgt ist, dadurch gekennzeichnet, daß der Steuerschaltung (7) des innerhalb des 10 Kartenkörpers (2) untergebrachten Halbleiterchips (3) eine Sensorschaltung (14) zugeordnet ist, welche eine Abweichung des erlaubten Betriebszustandes der Steuerschaltung (7) und/oder weiterer Schaltungskomponenten des Halbleiterchips erfaßt und 15 bei Vorliegen eines unerlaubten Betriebszustandes der Steuerschaltung (7) und/oder einer weiteren Schaltungskomponente ein Auslösesignal erzeugt, welches einer der Sensorschaltung (14) nachgeschalteten und der Halbleiterspeichereinrichtung 20 Zugeordneten Auslöseschaltung (18) zugeführt ist, die als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts der Halbleiterspeichereinrichtung steuert.

2. Chipkarte nach Anspruch 1, dadurch gekenn- 25 zeichnet, daß die der Sensorschaltung (14) nachgeschaltete Auslöseschaltung (18) zur Löschung des Dateninhalts von sämtlichen Speicherzellen des Halbleiterspeichereinrichtung (8) ein Reset-Signal an die Halbleiterspeichereinrichtung (8) ausgibt. 3. Chipkarte nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Sensorschaltung (14) der Taktversorgung und/oder der Spannungsversorgung der Steuerschaltung (6) zugeordnet ist und eine Abweichung der Versorgungsspannung von 35 der Betriebsspannung und/oder eine Abweichung des Versorgungstaktes von dem Betriebstakt erfaßt und bei Vorliegen einer Abweichung der Betriebsspannung und/oder des Betriebstaktes das Auslösesignal erzeugt, welches der der Sensor- 40 schaltung (14) nachgeschalteten und der Halbleiterspeichereinrichtung (8) zugeordneten Auslöseschaltung (18) zugeführt ist, welche als Reaktion auf das Auslösesignal eine wenigstens bereichsweise Löschung des Dateninhalts von Speicherzellen (19) 45 der Halbleiterspeichereinrichtung (8) steuert. 4. Chipkarte nach Anspruch 1 bis 3, dadurch gekennzeichnet, daß die Sensorschaltung (14) eine

5. Chipkarte nach Anspruch 1 bis 3, dadurch gekennzeichnet, daß die Sensorschaltung (14) eine Frequenzdetektorschaltung (21) aufweist, die ein 55 Über- bzw. Unterschreiten des Versorgungstaktes von den oberen bzw. unteren Grenzwerten des Betriebstaktes erfaßt. 6. Chipkarte nach Anspruch 1 bis 5, dadurch gekennzeichnet, daß die Steuerung der wenigstens 60

Spannungsdetektorschaltung (20) aufweist, welche ein Über- bzw. Unterschreiten der Versorgungs- 50 spannung von den vorbestimmten oberen bzw. unteren Grenzwerten der Betriebsspannung erfaßt.

6. Chipkarte nach Anspruch 1 bis 5, dadurch gekennzeichnet, daß die Steuerung der wenigstens 60 bereichsweisen Löschung des Dateninhalts von Speicherzellen (19) der Halbleiterspeichereinrichtung (8) vermittels der der Sensorschaltung (14) nachgeschalteten Auslöseschaltung (18) unabhängig von der der Steuerschaltung (6) zugeordneten 65 Taktversorgung erfolgt.

7. Chipkarte nach Anspruch 1 bis 6, dadurch gekennzeichnet, daß die Steuerschaltung (7) eine Mikroprozessorschaltung einer auf dem Halbleiterchip (3) integriert ausgebildeten Mikrocontrollerschaltung (6) darstellt, die neben einem Halbleiterspeicher vom wahlfreien Zugriffstyp (8) als weitere
Funktionseinheiten insbesondere einen Festwerthalbleiterspeicher (9) und/oder einen elektrisch
löschbaren Halbleiterspeicher (10) umfaßt.

8. Chipkarte nach Anspruch 1 bis 7, dadurch gekennzeichnet, daß gleichzeitig mit der Löschung
von Dateninhalten der Speicherzellen des Halbleiterspeichers vom wahlfreien Zugriffstyp auch Da-

teninhalte eines der Steuerschaltung zugeordneten

Hierzu 1 Seite(n) Zeichnungen

Registers oder Akkumulators gelöscht werden.

Nummer: Int. Cl.<sup>6</sup>: Offenlegungstag:

**DE 196 10 070 A1 G 06 K 19/073**18. September 1997





Fig 2

